发现和处理异常告警

数据安全中心DSC(Data Security Center)针对数据库风险活动,提供了一套全面的检测机制,包括预设的内置检测模型和灵活的自定义检测模型。这些模型可以有效识别与敏感数据相关的异常行为并上报告警。本文介绍如何查看并处理异常风险告警。

检测模型说明

DSC默认开启所有的内置检测模型,您也可以根据业务和安全策略需要管理内置检测模型或自定义检测模型。在异常告警页面右上角,单击异常检测模型,可查看检测模型的详细信息。

异常事件类型

异常事件可分为以下类型:

  • 流转异常:数据在流转过程中出现的异常情况。例如:下载非常用Bucket内敏感文件、初次下载敏感数据等。
  • 行为异常:非正常的数据操作行为。例如:登录密码连续错误、短时间内大量删除数据等。

  • 自定义异常:根据您自定义的检测模型检测异常事件并上报告警。

风险等级说明

异常事件的风险等级是根据命中事件的敏感等级按照一定规则确定的,属于同一事件子类型的告警风险等级可能不同。具体规则如下:

  • 流转异常:命中该类规则的告警,命中文件的最高敏感等级>=S3,则该告警风险等级为高;命中文件的最高敏感等级为S1或S2,则该告警风险等级为中;命中文件的最高敏感等级为N/A,则该告警风险等级为低。

  • 行为异常:命中该类规则的告警,命中文件的最高敏感等级>=S2,则该告警风险等级为中;命中文件的最高敏感等级<=S1,则该告警风险等级为低。

  • 自定义异常:根据您配置的风险级别生效。

查看并处理异常事件

  1. 登录数据安全中心控制台

  2. 在左侧导航栏,选择安全态势 > 异常告警

  3. 异常告警页面,查看异常事件的统计结果和列表信息。

    单击流转异常行为异常自定义异常页签切换到对应异常告警统计数据页面,查看不同类型异常事件的统计数据。

  4. 单击目标异常事件操作列的查看详情,在异常事件详情面板,查看事件基础信息、事件对象信息、事件描述和处置历史等信息。

    请根据事件详情评估该告警是否为攻击事件。如果为攻击事件,建议您制定相应解决方案,强化系统薄弱点。

  5. 返回异常告警页面,单击目标异常事件操作列的处理

  6. 风险告警面板,标记该告警的处理进展。

    您需要设置以下参数。

    • 事件核查结果

      • 确认异常并已处理:如果您确认该检测结果确实为异常事件,选择该选项。您需要根据页面提示的信息,定位到该异常事件的位置,并在对应的云产品中进行手动处理。确认违规的事件如未被处理,DSC将会一直对该事件进行异常事件告警。

      • 加入白名单:如果您确认该检测结果属于正常操作、无需进行处理,可选择该选项。异常事件加入白名单后,DSC后续将不再对该事件进行告警提示。

    • 处理记录:填写处理该异常事件告警的备注信息,方便后续回溯。

  7. (可选)单击异常事件列表上方的导出,可导出列表中展示的异常事件。

配置告警通知

为了及时收到异常告警通知,您需要在数据安全中心控制台系统设置页面告警通知页签下,新增告警通知。具体操作,请参见配置邮箱告警通知

相关文档